Internet
赤坂ビル
調査ツール (Perl/Java)
調査ネットワーク構成概要
(ISP様ご提供)
IPアドレス リスト
ISP
DB
ユーザ ユーザ ユーザ
・・・
コマンド 実行
DBへ 結果登録 コマンド 結果解析 処理高速化のため多重化(ス
レッド)を行う
処理高速化のため多重化(ス レッド)を行う
処理高速化のため、通信実行
⇒DB登録まで多重化(スレッ ド)処理を行う
※最大スレッド数=200
スキャン対象はISP配下のユー ザ割りあてIPアドレス
通信コマンド結果から該当 箇所を抽出する
分析の実施
通信(DNS/HTTP/SSDP) 通信はISPあたり最大同時200セッション
※1ユーザに対しては最大2セッション
Telecom-ISAC Japan環境からISP様ご提供のIPアドレス帯に対し、各通信コマンド(DNS/HTTP/SSDP)を実施す る。実行結果はDBへ登録し、通信内容に関する分析を行う。
NW脆弱性保有デバイス調査 実施条件
■調査対象
Telecom-ISAC Japan会員ISPのコンシューマサービスIPアドレス
■調査対象アドレス総数
約750万 IPアドレス (ユーザ割り当て用にDHCP等にプールしているもの)
■調査実施期間
8/9(金)~8/21(水)間の日中帯(10:00~19:00)を中心に実施
※一部は上記期間の夜間帯、または予備調査期間(6月)に実施したものもあり
■調査実施内容
・DNS調査
・HTTP調査
・SSDP調査
http調査結果まとめ
401認証がオープンになっている機器はGoAhead-Websなど組込系Webサー バソフトウェアが多く占めており、BBルータ等管理画面(Webインターフェイ ス)を持つNW機器が該当することが推測される
外部ネットワークに対し401認証がオープンになっている機器が一定の規模で存 在し、その内、一定数の割合で公表された脆弱性の対処をしていないL社製ルー タが存在している
外部ネットワークに対し401認証がオープンになっている機器は限定された機種 に限る物ではなく、複数メーカ、複数機種で起こっている事象である
外部ネットワークに対し401認証がオープンになっている機器の内、平易な ID/PWでのloginが可能なものが少なからず存在すると考えられるが、本調査手 法では調査することが不可能であり、各機種やそのファームウェアの調査など更 なる調査を実施する必要がある
●
●
●
●
INTERNET
DNS調査結果まとめ
open resolverとして機能する機器は、今回調査範囲の0.36%であり、やは り一定の数が存在している
open resolverとして機能する機器のDNSクエリに対するversion.bind値を 確認したところ、ISP各社のDNSサーバと同一の特定文字列が現れるものが 80~90%を占める
このことから、 open resolverとして機能する機器の多くがDNSフォワーダ 動作を行っており、上位にあたるISPのDNSサーバを参照しており、その大 半は家庭用BBルータであると推測される
ISP
キャッシュDNSDNS 多くのNWデバイスではデフォルトで
DNS検索に上位DNSを参照利用している (=フォワーダ動作)
Web Eメール …
公開DNS
個別に設定すれば、インター ネット上に公開されたDNSを参 照することもできるが…
●
●
●
ssdp応答調査まとめ
ssdp応答機器の割合は調査IPに対し3.07%
なお、比較として下記 レポートを参照すると、IPv4 空間の 2.2% が UPnPリクエストに反応するという結果が確認されてお り、おおよそ近い結果が見られた。
RAPID7 : Security Flaws in Universal Plug and Play: Unplug, Don't Play.
https://community.rapid7.com/docs/DOC-2150
ssdp (UPnP) に関しては現状、脆弱性に関する報告は多数されているものの深刻な 攻撃は確認されていない
ssdp (UPnP)が外部から応答することに関しての危険性や、本調査で外部からのリ クエストに正常応答したものの内で各報告で危険とされている脆弱性がどの程度存 在するかを知る必要はあるが、追調査などの実施により慎重に精査し判断すること が重要である
●